Règles d'entreprise contraignantes

Les règles d'entreprise contraignantes[1] (ou BCR pour Binding corporate rules) sont un instrument juridique européen auquel une société multinationale ou un groupe d'entreprises peut recourir afin de garantir un niveau adéquat de protection des données à caractère personnel lors du transfert de ces données, au sein du groupe, au départ d'un pays situé dans l'Union européenne (UE) ou dans l'Espace économique européen (EEE) vers un pays tiers.

Ces règles ont été développées à l'origine comme un outil supplémentaire permettant le transfert de données personnelles vers des pays non adéquats tels que définis par la Commission Européenne sur la base de la Directive 95/46/CE sur la protection des données données personnelles[2] avec notamment le groupe de travail européen "Article 29", G29, sur la protection des données.

Ces outils appartiennent à quatre catégories distinctes correspondant à des besoins différents: les Clauses contractuelles types, les règles d'entreprise Contraignantes (Binding Corporate rules ou BCR en anglais), le consentement express des individus concernés qui est en pratique très peu utilisé et les Contrats "ad hoc" qui requièrent la validation des Autorités.

Le recours à ces règles nécessite l'approbation d'une autorité, dite "Chef de file" chargée de la protection des données d'un pays de l'UE assistée de deux autres autorités "co-chefs de file". Ces règles après approbation générale grâce à un mécanisme de "mutal agreement" établi entre 20 autorités et la consultation de celles restantes (en fonction du ou des transferts envisagés) peut alors servir au transfert de données personnelles.

Il est à noter que depuis lors le Règlement Européen 2016/679 (GDPR) a pleinement intégré cet outil dans son article 47 et le EDPB (European Data Protection Board) qui a remplacé le WP29 a édité des Working Papers (WP 256, 257) qui définissent la forme et le contenu des BCR pour se conformer à l'article GDPR 47.

Contenu

Plusieurs documents de l'UE sont destinés à aider les entreprises qui souhaitent utiliser cet instrument juridique[3],[4].

Notes et références

  1. European Data Protection Supervisor, « Protection des données Glossaire R » (consulté le )
  2. European Commission - Justice, « Protection of personal data » (consulté le )
  3. European Commission - Justice, « Documents on data protection » (consulté le )
  4. Anne Debet, Jean Massot, Nathalie Metallinos, Anne Danis-Fatôme et Olivier Lesobre, Informatique et libertés : La protection des données à caractère personnel en droit français et européen, Paris, Lextenso, coll. « Les Intégrales », , 1288 p. (ISBN 978-2-35971-093-9)